Автор Тема: Конфигуриране на nat само за e-mail ?  (Прочетена 3457 пъти)

ludmilbv

  • Участници
  • ***
  • Публикации: 7
    • Профил
Здравейте имам Линукс рутер с Slackware. Значи имам пуснато прокси и NAT. За момента някой потребители са на проксито други имат директен интернет с NAT и съм ограничил трафика с HTB. NAT съм пуснал така

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -s 192.168.12.2 -j ACCEPT
iptables -A FORWARD -s 192.168.12.3 -j ACCEPT
...
iptables -A FORWARD -s 192.168.12.0/24 -j DROP

Интересуваме как мога да пусна NAT на IP само за SMTP и POP3 и за всички други портове да бъдат забранени. По този начин WEB ще пусна с Proxyto и всичко друго освен пощата ще бъде спряно ?
Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Конфигуриране на nat само за e-mail ?
« Отговор #1 -: Feb 07, 2008, 02:00 »
Добре дошъл във форума.
Първото, което ми идва наум е да направиш пренасочване със следните правила
Примерен код
/sbin/iptables -A PREROUTING -t nat -p tcp -d 0.0.0.0/0 --dport 0:24 -j DNAT --to 192.168.12.1:8000
/sbin/iptables -A PREROUTING -t nat -p tcp -d 0.0.0.0/0 --dport 26:109 -j DNAT --to 192.168.12.1:8000
/sbin/iptables -A PREROUTING -t nat -p tcp -d 0.0.0.0/0 --dport 111:65535 -j DNAT --to 192.168.12.1:8000

Тук съм сложил само правила, с които ще останат позволени само портове 25 и 110. По същата схема вмъкни сред тях и позволение за порта, на който слуша проксито. Можеш да сложиш едно apache на 192.168.12.1 да слуша на порт 8000, където да сложиш едно гръмко съобщение от рода "Хайде сега си настрой браузъра да ползва прокси" '<img'>



Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

ludmilbv

  • Участници
  • ***
  • Публикации: 7
    • Профил
Конфигуриране на nat само за e-mail ?
« Отговор #2 -: Feb 08, 2008, 22:16 »
Хмм... на мен идеята ми е само за определено IP да забраня портовете, всички портове и да оставя само 25 и 110. Така като гледам, това ще го пробвам, но имам чувството, че ще спре за всички IP-та портовете. Мерси за бързия отговор. Почвам да го мъча '<img'> Пуснал съм и ipp2p с цел.


edit by neter: Редактирано съгласно т.3 от правилата на форума, с които задължително трябва да се запознаеш и да ги спазваш '<img'>



Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Конфигуриране на nat само за e-mail ?
« Отговор #3 -: Feb 10, 2008, 03:55 »
Точно така, правилно гледаш. Така формирани правилата ще ограничат всички IP-та зад въпросния рутер. Щом ти е нужно да ограничиш само дадено IP, то добави към правилата и "-s 192.168.12.2". Пример
Примерен код
/sbin/iptables -A PREROUTING -t nat -p tcp -s 192.168.12.2 -d 0.0.0.0/0 --dport 0:24 -j DNAT --to 192.168.12.1:8000
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти